你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 安全日志记录和审核

Azure 提供多种不同的可配置安全审核和日志记录选项,帮助你识别安全策略和机制方面的差距。 本文介绍如何生成、收集和分析 Azure 上托管的服务的安全日志。

注意

本文中的某些建议可能会导致数据、网络或计算资源使用量增加,还可能导致许可或订阅成本增加。

Azure 中的日志类型

云应用程序很复杂,包含很多移动部件。 日志记录数据可以提供有关应用程序的见解,并帮助你:

  • 排查过去的问题,或避免潜在的问题
  • 提高应用程序性能或可维护性
  • 自动执行本来需要手动干预的操作

Azure 日志划分为以下类型:

  • 控制/管理日志提供有关 Azure 资源管理器 CREATE、UPDATE 和 DELETE 操作的信息。 有关详细信息,请参阅 Azure 活动日志

  • 数据平面日志提供作为 Azure 资源使用情况的一部分引发的事件的相关信息。 此类日志的示例是虚拟机 (VM) 中的 Windows 事件系统、安全性、应用程序日志以及通过 Azure Monitor 配置的诊断日志

  • 已处理的事件提供已以用户名义处理的分析事件/警报的相关信息。 此类日志的示例是 Microsoft Defender for Cloud 警报Microsoft Defender for Cloud已处理和分析了订阅,并提供简明的安全警报。

下表列出了 Azure 中最重要的日志类型:

日志类别 日志类型 使用情况 集成
活动日志 Azure 资源管理器资源上的控制平面事件 提供见解,方便用户了解对订阅中的资源执行的操作。 REST API、Azure Monitor
Azure 资源日志 关于订阅中 Azure 资源管理器资源操作频繁生成的数据 提供见解,以便深入了解资源本身执行的操作。 Azure Monitor
Microsoft Entra ID 报告 日志和报告 报告有关用户和组管理的用户登录活动和系统活动信息。 Microsoft Graph
虚拟机和云服务 Windows 事件日志服务和 Linux Syslog 在虚拟机上捕获系统数据和日志记录数据,并将这些数据传输到所选的存储帐户中。 Azure Monitor 中的 Windows(使用 Azure 诊断 存储)和 Linux
Azure 存储分析 存储执行日志记录并为存储帐户提供指标数据 提供相关信息,以便深入了解如何跟踪请求、分析使用情况趋势以及诊断存储帐户的问题。 REST API 或客户端库
网络安全组 (NSG) 流日志 采用 JSON 格式,并根据规则显示出站和入站流 显示有关通过网络安全组的入口和出口 IP 流量的信息。 Azure 网络观察程序
Application Insights 日志、异常和自定义诊断 提供多个平台上面向 Web 开发人员的应用程序性能监视 (APM) 服务。 REST API,Power BI
处理数据/安全警报 Microsoft Defender for Cloud 警报,Azure Monitor 日志警报 提供安全信息和警报。 REST API,JSON

与本地 SIEM 系统进行日志集成

集成 Defender for Cloud 警报讨论如何将 Defender for Cloud 警报、Azure 诊断日志收集的虚拟机安全事件和 Azure 审核日志与 Azure Monitor 日志或 SIEM 解决方案同步。

后续步骤